У першому півріччі 2025 року російські хакери досягли нового рівня у використанні штучного інтелекту для кібератак проти України, зафіксувавши 3018 інцидентів, що на 443 більше, ніж у попередньому періоді. Атаки зросли на органи місцевого самоврядування та військові об’єкти, тоді як на урядові та енергетичні сектори зменшилися. Хакери застосовують ШІ для генерації фішингових повідомлень та створення шкідливого ПЗ, як WRECKSTEEL від групи UAC-0219, спрямованого на державне управління та критичну інфраструктуру. Інші кампанії включають UAC-0218 з HOMESTEEL через RAR-архіви на сили оборони, UAC-0226 з GIFTEDCROOK на оборонно-промислові комплекси, UAC-0227 з ClickFix-тактиками для Amatera Stealer та Strela Stealer, а також UAC-0125 (Sandworm) з backdoor Kalambur через фішингові email, що імітують ESET.

Російська група APT28 експлуатувала вразливості в Roundcube та Zimbra для zero-click атак, дозволяючи ін’єкцію шкідливого коду та ексфільтрацію даних. Sandworm синхронізує кібероперації з фізичними атаками на енергетику та оборону. Зловмисники зловживають сервісами як Dropbox, Google Drive для хостингу malware та фішингу. Рекомендації включають посилення моніторингу, оновлення ПЗ та протидію гібридним загрозам для захисту критичної інфраструктури.